Politique de sécurité & divulgation responsable

Conforme à la RFC 9116 (security.txt) et aux bonnes pratiques de l'ANSSI

Signaler une vulnérabilité

Si vous découvrez une faille de sécurité dans Esquize, merci de nous la signaler de manière responsable :

• Email : security@esquize.fr (chiffré PGP si possible)
• Délai de réponse : 48 heures maximum
• Délai de correction : selon sévérité (CRITIQUE : 24h, HAUTE : 7j, MOYENNE : 30j, BASSE : 90j)

Ce qui est dans le périmètre

• Le service Esquize accessible sur esquize.fr
• L'API publique (/api/)
• Le code source publié

Hors périmètre

• Services tiers (Google, Microsoft) — à signaler à leurs propres équipes
• Attaques nécessitant un accès physique
• Ingénierie sociale ciblant nos employés
• Brute-force ou DDoS volumétrique

Engagement Esquize (Safe Harbor)

Si vous respectez cette politique :

• Nous n'engagerons aucune poursuite judiciaire à votre encontre
• Nous reconnaîtrons votre contribution dans notre Hall of Fame (avec votre accord)
• Nous corrigerons la faille dans les meilleurs délais

Mesures de sécurité en place

Voir le document SECURITY.md dans le code source pour la liste détaillée. En synthèse :

• Chiffrement TLS 1.2+ obligatoire
• Cookies HttpOnly, Secure, SameSite, signés
• OAuth 2.0 + PKCE
• Content Security Policy stricte
• Rate-limiting global et par endpoint
• Validation et échappement systématique
• Audit log immuable
• Sauvegardes chiffrées quotidiennes
• Nettoyage périodique des données expirées